6698 sayılı Kişisel Verilerin Korunması Kanunu 7 Nisan 2016 tarih ve 29677 sayılı karar ile yürürlüğe girmiştir. Kişisel verilerin korunması ise Anayasa Mahkemesi’nin “Kişisel verilerin korunması hakkı, kişinin insan onurunun korunmasının ve kişiliğini serbestçe geliştirebilmesi hakkının özel bir biçimi olarak, bireyin hak ve özgürlüklerini kişisel verilerin işlenmesi sırasında korumayı.” kararında belirtildiği gibi kişilerin en temel hakkı olduğu belirtilerek ele alınmıştır.
Kişisel verilerin işlenmesi, kişisel verilerin elde edilmesi, saklanması, üzerinde herhangi bir değişiklik yapılması, sınıflandırılması, başkalarına aktarılması ve başkaları tarafından erişilebilir hâle getirilmesi, ya da kullanılması ve ait olduğu kişi tarafından kullanımının engellenmesi gibi veriler üzerinde gerçekleştirilen her türlü işlemi ifade eder.
Veri erişim ve aktarım hızının teknoloji ile en üst seviyelere çıkması ve her alanda yaygınlaşmış bir biçimde verilerin kullanılmasından doğan koruma ihtiyacı da bu kanunun çıkmasının en temel nedenidir. KVKK, kişisel verilerin amaç dışı işlenmesini ya da kötüye kullanımının engellenmesini, kişisel hakların ihlal edilmesinin önüne geçilmesini, verinin güvenliğinin sağlanmasını amaç edinmiştir. Kişisel Verilerin Korunması Kanunu, tüm bu gereksinimlerin neticesinde ortaya çıkan yasal düzenleme ihtiyacını karşılamaktadır. Kanun, kişisel verilerin korunmasında aşağıda yer alan temel ilkeleri benimsemiştir.
a) Hukuka ve dürüstlük kurallarına uygun olmak.
b) Doğru ve güncel olmak.
c) Açık ve meşru amaçlar için işlenmek.
ç) Toplandıkları ve işlendikleri amaç ile bağlantılı, sınırlı ve ölçülü olmak.
d) İşlendikleri amaç için gerekli olan süre kadar muhafaza edilmek.
Hangi teknolojik gereksinimlerden faydalanılmalıdır?
KVKK kapsamında, kurumların mevzuata uygunluğu ve yükümlülüklerini sağlaması, verilerinin bulunduğu ortamlarının fiziksel güvenliğini sağlaması, personel bilinçlendirmesi ve danışmanlık hizmetlerinin yanında teknolojik çözümlerden de yararlanması gerekmektedir. Verilerin işlenmesinin amaç dışı kullanımının önüne geçmek adına KVKK uyumluluk çözümleri geliştirilmiştir. Verinin şifrelenmesi, verinin sınıflandırılması, verinin maskelemesi ve veri kaybının engellenmesi gibi çözümler değerlendirilmelidir.
Verinin Şifrelenmesi;
Veri güvenliğinin temelini oluşturur. Şifreleme sadece erişimi yetkilendirmekle kalmayıp verinin ve kaynağının doğruluğunu ve bütünlüğünü de korumayı sağlar.
Verinin Yedeklenmesi;
Hasar, kayıp, doğal felaket gibi veri bütünlüğüne zarar verebilecek herhangi bir olumsuz durumdan minimum seviyede etkilenmek amacıyla yapılan bir kopyalama işlemidir.Veri kaybı olması durumunda önlem niteliği taşır. Bu işlem sanal yedekleme, doküman yedekleme, veritabanı yedekleme, mail sunucu yedekleme, bulut yedekleme olarak gerçekleştirilebilir. Bulut(Cloud) teknolojilerinden, RAID(Redundant Array of Independent Disks) yapılarından, NAS(Network-Attached Storage) sistemleri, SAN (Storage Area Network) yapısı, DAS(Direct-Attached Storage) gibi depolama çözümlerinden yararlanılabilir.
Veri Sızıntısını Engelleme;
Kurumun hassas verilerinin sistem dışına çıkışı denetim altına alınmalıdır. Bunun için DLP(Data Leak/Loss Prevention) çözümlerinin kullanılması gerekir. DLP sistemleri sistem içerisindeki yazılımsal ve donanımsal kaynaklar tarafından verinin kullanım durumunu kontrol altına alır. Amaç dışı kullanımı, paylaşımı, veri aktarımını engeller. Aynı zamanda yeni bir teknoloji olan UEBA(User and Entity Behavior Analytics) teknolojisinden de yararlanılmalıdır.
Sızma Testleri (Penetration Tests);
Sistemin hatalarının ve zafiyetlerinin kötü niyetli kişiler tarafından istismar edilmesini engellemek ve sistemi daha güvenilir bir hale getirmek amacıyla yapılır. Bu testlerin düzenli ve sürekli olarak yapılması ardından test raporları baz alınarak gereken güvenlik önlemlerinin zaman kaybetmeden alınması gerekmektedir. Tehdit ve riskler en aza indirilerek ve siber güvenlik sağlanmalıdır.
